弱口令攻防实战从字典构建到内网突破的完整链条去年某次企业红队评估中我们仅用36小时就完成了从外网到核心区的全线突破。复盘时发现超过70%的初始突破口都源于同一个问题——默认凭证未修改。这并非特例根据2023年全球企业安全报告弱口令问题已连续五年位列高危漏洞前三甲。1. 弱口令字典的黄金法则专业红队的武器库里总有一份不断进化的弱口令字典。与网上流传的通用字典不同实战级字典需要遵循三个核心原则厂商特异性不同设备厂商的默认凭证存在明显规律。例如海康威视设备常见admin/12345组合而H3C设备多采用admin/admin或root/h3c123.com行业特征教育行业常用校名缩写年份如njdx2023医疗系统偏好hospital科室代码变形规则基础密码常伴随大小写变换Admin123、年份后缀password2024等实战中发现某金融系统管理员密码80%符合F大写月份英文4位年份模式如Fjanuary2024这种规律性大大提升了爆破效率典型厂商默认凭证示例设备类型用户名常见密码大华摄像头adminadmin / 888888绿盟安全设备adminNsfocus123泛微OA系统admin空密码山石防火墙hillstonehillstone2. 自动化爆破的精准打击有了优质字典后如何高效实施爆破是关键。现代红队通常采用分层爆破策略服务识别阶段nmap -sV -p 21,22,23,80,443,8080 192.168.1.0/24 -oN service_scan.txt通过端口扫描快速定位Web控制台、SSH、Telnet等服务入口智能爆破阶段# Hydra的智能模式示例 hydra -L users.txt -P passwords.txt -t 4 -vV -o found.txt \ -f ssh://192.168.1.100 -s 22 -M targets.txt-t参数控制线程数避免触发防护机制结果验证阶段对成功组合进行人工验证记录爆破成功的服务类型和时间戳标记可能存在的账号锁定机制爆破工具对比工具优势适用场景规避检测技巧Hydra支持协议广泛多协议并行测试调整延迟参数(-w)Medusa资源占用低大型网络扫描使用代理池轮换Patator模块化设计自定义协议开发随机化User-AgentXray内置智能字典Web控制台爆破启用TLS加密传输3. 内网横向的突破口选择获得初始立足点后明智的突破口选择决定行动效率。我们总结出三类高价值目标3.1 网络设备管理界面路由器/交换机Web控制台常存在RCE漏洞VPN管理门户可获取更多账户凭证防火墙配置页面用于规则绕过3.2 监控系统# 海康威视摄像头RCE漏洞检测 curl -X POST http://10.2.1.100/System/configurationFile?authYWRtaW46MTEK摄像头系统往往连通多个安全区域且普遍存在未修复漏洞3.3 运维管理系统跳板机通常存储大量SSH密钥备份服务器可能包含明文密码监控平台如Zabbix、Grafana在一次医疗行业评估中我们通过某HIS系统的admin/His1234凭证进入后在备份服务器上发现了包含域管理员密码的运维脚本直接导致整个AD域沦陷。4. 防御体系的构建要点真正的安全不是封堵某个具体漏洞而是建立纵深防御体系凭证管理基础强制修改所有默认凭证包括API密钥实施密码策略长度12包含特殊字符启用多因素认证尤其对管理接口网络架构优化Internet → WAF → DMZ → 内部防火墙 → 核心区 ↑ ↑ 跳板机 运维专用通道关键系统应该部署在网络隔离区域监控响应机制登录失败报警阈值建议5次/10分钟异地登录行为分析定期审计账户登录日志某金融机构在部署了智能账号保护系统后成功将暴力破解尝试的检测时间从平均4小时缩短到11分钟有效阻断了90%的自动化攻击。5. 实战中的反制技巧高级攻击者会采用各种手段规避检测防守方需要关注这些异常迹象低频慢速爆破攻击者将单个IP的尝试频率控制在报警阈值下凭证填充攻击使用其他渠道泄露的密码组合进行尝试协议隧道滥用通过HTTP/S协议封装认证流量检测建议# 使用ELK堆栈检测异常登录模式 event.dataset: auth.log and (event.outcome: failure and event.duration 5s) or (src.ip: 192.168.1.* and geoip.country_code2: CN)真正的安全是持续的过程。每次攻防演练后我们都会更新字典库——不是用来攻击而是用来检查自身系统是否存在这些行业通病。最近新增的200条记录里有38%来自客户实际环境的发现这种持续进化才是防御弱口令威胁的核心。